参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": { "total": 12, "list": [ { "createTime": "20241024T01:44:12Z", "updateTime": "20241024T01:44:12Z", "alarmName": "100.126.9.172192.168.10.5POP3WeakPasswordLoginAttempt(TCP)告警", "attackType": "InformationDisclosureWeakPassword", "attackIp": "100.126.9.172", "affectedIp": "192.168.10.5", "attackLevel": "MIDDLE", "triggerCount": 1, "ruleId": 43049, "ruleName": "POP3WeakPasswordLoginAttempt(TCP)", "sourceType": "BASE", "attackDirection": "1", "isHandled": false, "alarmId": "119320" } ], "pageNum": 1, "pageSize": 10, "size": 10, "startRow": 1, "endRow": 10, "pages": 2, "prePage": 0, "nextPage": 2, "isFirstPage": true, "isLastPage": false, "hasPreviousPage": false, "hasNextPage": true, "navigatePages": 8, "navigatepageNums": [ 1, 2 ], "navigateFirstPage": 1, "navigateLastPage": 2 }, "statusCode": "800" } 状态码 请参考 状态码 错误码 请参考 错误码

参数 是否必填 参数类型 说明 示例 下级对象 alarmId 是 String 告警id 119320

推送系统报表 为方便审计管理员及时获取运维统计信息，通过邮件发送系统报表。 自动发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的系统统计数据。 前提条件 已获取“系统报表”模块管理权限。 已配置有效邮箱地址。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 系统报表”，进入系统报表查看页面。 3 单击右上角的“报表导出”，弹出系统报表导出配置窗口。 4 配置系统报表推送方式、时间和文件格式。 导出系统报表 系统报表导出参数说明 参数 说明 :: 展示粒度 选择系统报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，立即导出系统报表。 6 “消息中心”收到导出系统报表完成提醒，即可在邮箱收到系统报表文件。 自动发送 1 登录云堡垒机系统。 2 选择“审计 > 系统报表”，进入系统报表查看页面。 3 单击右上角的“报表自动发送”，弹出系统报表自动推送配置窗口。 4 配置报表推送方式、时间和文件格式。 自动发送系统报表 自动发送系统报表参数说明 参数 说明 :: 状态 选择开启或关闭自动推送上一周期报表，默认。 ，表示关闭自动推送报表。 ，表示开启以邮件方式发送上一周期的报表至当前用户邮箱。 发送周期 选择报表发送周期。 默认为目标日期的零点发送报表。 可以按每日、每周、每月周期进行发送。 每日发送的报表中展示粒度为按小时。 每周发送的报表中展示粒度为按天。 每月发送的报表中展示粒度为按周。 文件格式 选择报表格式，仅可选择一种格式类型。 默认选DOC格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，返回系统报表页面，按期接收到系统报表邮件。

参数 说明 令牌标识 动态令牌条形码。 秘钥 动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户帐号。

本文描述云防火墙所提供服务的韧性保证 天翼云云防火墙（原生版）的管理平台、引擎、日志服务等组件均采用主备或集群方式部署，并在多个可用区部署，从而保证云防火墙服务的韧性。 其中管理平台采用集群式部署架构，支持服务器级别的容灾备份。 日志服务采用集群式部署架构，支持服务器级别的容灾备份。 引擎采用主备部署架构，当主设备出现故障时能够快速切换到备设备提供服务。 说明 主备设备之间采用心跳进行状态检测，同时引擎还支持直接转发的功能，当主备设备同时出现故障时，能够将流量直接转发到用户的业务上，不影响用户的业务正常运行。任意一台服务器或者任意一个可用区故障时都不会导致云防火墙故障。

参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用于技术人员登录系统后台，技术人员根据内部系统提供的解密功能进行后台管理。 API凭证 主要用于统一管理平台添加节点认证使用。 l 单击“查看”时需要输入系统管理员admin密码、Access Key Secret、Access Key ID。 l “更新”、“清除”API凭证需要输入系统管理员admin密码，并且更新后，统一管理平台管理的该节点将会失效。 HA Key 主要用于配置HA时使用。 当用户通过Web界面配置HA的备节点时，备节点上的程序需要连接到指定的主节点上，再获取相关配置信息进行有效性校验，并在校验通过后才能修改主节点上的配置。 版本号 当前系统版本。 设备系统 当前系统软件版本。 发行日期 当前系统版本发行日期。

后续管理 若需修改认证信息、关闭认证等，可单击“编辑”，在弹出的RADIUS配置窗口重新配置。 配置Azure AD远程认证 云堡垒机与Azure AD平台对接，认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序，并获取Azure AD平台配置的相关信息。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 在“Azure AD认证配置”区域，单击“编辑”，弹出Azure AD认证配置窗口。 Azure AD域认证参数说明 参数 说明 :: 状态 选择开启或关闭Azure AD远程认证，默认开启。 关闭表示开启Azure AD认证。在配置信息有效情况下，登录系统时呈现Azure AD认证入口。 开启表示关闭Azure AD认证。 标识符（实体ID） 输入企业名称或URL。 回复URL 自动填写，默认为返回当前云堡垒机的跳转链接。 当云堡垒机IP或域名变更，需同时修改此链接中IP或域名。 应用联合元数据URL 输入在Microsoft Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。 Azure AD标识符 输入在Microsoft Azure中配置SAML单一登录后生成的Azure AD标识符。 4. 单击“确认”，提交配置数据验证可达后，返回Azure AD认证服务器表中，即可查看和管理的Azure AD认证配置信息。

本小节主要介绍纳管资源后，如何添加资源账户。 一个主机或应用可能有多个登录主机或应用的帐户，每个被纳管的主机帐户或应用帐户对应一个资源账户。登录被纳管资源账户时，自动登录无需输入帐号和密码。 当添加主机或应用未纳管帐户和密码时，默认生成一个“Empty”帐户，登录“Empty”资源账户时需手动输入帐户名和相应密码。 约束限制 Edge浏览器应用资源不支持配置自动登录资源账户。 若资源安装了AD域服务，添加的资源账户为 域名 资源账户名 ，例如adadministrator。 前提条件 已获取“资源账户”模块操作权限。 已添加主机或应用资源。 新建单个资源账户 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 单击“新建”，弹出资源账户编辑窗口，配置资源账户的属性。 新建资源账户参数说明 参数 说明 :: 关联资源 选择已添加的主机或应用资源。 登录方式 选择登录方式，可选择“手动登录”、“自动登录”、“提权登录”。 选择“自动登录”，“资源账户”和“密码”为必填项。 选择“手动登录”，可选配置“资源账户”。 仅针对SSH协议类型主机，可选择“提权登录”。选择后，“切换自”和“切换命令”为必填项，可将原资源账户提权为特权帐户。 资源账户 输入资源的帐户名称。创建后不可修改，且系统内“资源账户”名唯一，不能重复。 勾选“特权帐户”，即该帐户可标识为管理资源的特权帐户，拥有改密权限。 密码 资源账户对应的密码。 默认勾选“验证”，配置完成确定后，自动验证资源账户的状态。 验证帐户通过后，直接保存资源相关信息。 验证帐户不通过，根据提示修改配置。 提示验证帐户超时，请修改资源的相关配置信息。 提示帐户密码错误，请返回配置窗口，确认并修改资源账户密码。 SSH Key 针对SSH协议类型主机，可配置登录SSH Key验证。 配置后优先使用SSH Key登录SSH主机资源。 Passphrase 针对SSH协议类型主机，SSH Key对应私钥序列。 切换自 针对SSH协议类型主机，选择已配置SSH主机资源账户，将该帐户提权为特权帐户。 切换命令 针对SSH协议类型主机，配置相应切换命令，例如su root。 帐户描述 对资源账户的简要描述。 4. 单击“确定”，返回资源账户列表页面，看到新建的帐户。

参数 说明 用户组 自定义组名称，系统唯一。 用户组描述 （可选）自定义对用户组的简要描述。

参数 说明 库 可选项，支持正则表达式匹配库名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 表 可选项，支持正则表达式匹配表名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 命令 必选项，必须选择一条预置命令。 目前支持选择29种命令，同时可选择多条命令。

在线会话回放 因登出时间和最后操作时间不同，视频文件的总时长与回放可播放时长可能不一致。 “总时长”是指从登录资源到登出资源的时间段。 “可播放时长”是指从登录资源到最后一次会话操作的时间段。 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 单击目标历史会话“操作”列的“播放”，跳转到历史会话窗口。 历史会话回放 4 回放会话操作全过程。 在会话窗口可查看运维操作的总会话时长，并可拖动播放进度。 在会话窗口右侧，可查看运维操作指令记录、传输文件记录、会话协同参与用户、加入实时会话监控用户等信息。 5 跳过空闲播放。 开启“跳过空闲”，表示播放历史会话时，将跳过无运维操作的会话回放。 默认为关闭。 6 多倍速率播放。 单击“正常速度”，可配置会话多倍速率播放。可分别选择正常速度、2X速度、4X速度、8X速度、16X速度。 7 会话截屏。 单击，可立即截取播放的会话窗口，生成本地PNG格式快照。 8 会话播放列表。 单击，展开会话窗口右侧的播放列表，可选择播放历史会话。 在搜索框输入登录名或资源账户名，搜索目标历史会话。 单击目标会话，即可立即播放。 历史会话播放列表

参数 说明 展示粒度 选择运维报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择运维报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择运维报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。

前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 3 单击目标实时会话“操作”列的“监控”，跳转到运维人员运维会话窗口。 4 可查看运维人员实时运维操作，并可分别在会话窗口栏查看历史运维记录、文件传输记录和协同会话参与用户记录。 中断实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时，可通过实时会话阻断会话，阻止运维人员的进一步操作。 本小节主要介绍如何中断实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 实时会话列表 3 单击目标实时会话“操作”列的“中断”，强制断开会话连接。 中断会话后，运维人员会话页面将被立即断开，并收到会话断开连接提示。 运维会话断开连接

此小节介绍桌面看板。 系统桌面看板分为统计控制板、活动用户、待审批工单、主机类型统计、应用类型统计、当前活动会话、今日新增会话、登录次数统计、运维次数统计、运维用户Top5、运维资源Top5、系统状态、系统信息、最近登录主机、最近登录应用、可登录主机、可登录应用等共17个信息模块，呈现云堡垒机系统状态、用户活动统计、主机/应用运维统计等信息。 不同用户角色拥有不同模块查看权限，本小节以系统管理员admin为例，介绍系统桌面看板的含义。 操作步骤 1. 登录云堡垒机系统。 2. 在左侧导航树中，选择“桌面”，进入系统桌面看板页面。 统计控制板 呈现当前用户可管理用户、主机、应用、应用服务器的统计数据，以及未处理告警消息的数量。 统计控制板 用户角色需分别获取“用户管理”、“主机管理”、“应用发布”、“应用服务器”模块管理权限，以及开启角色管理权限，即可查看系统控制板统计信息。当角色权限只有其中一个时，默认不显示统计控制板。 用户：呈现当前用户可管理用户数。单击用户模块，跳转到用户列表页面，可管理当前用户列表。 主机：呈现当前用户可管理主机资源数。单击主机模块，跳转到主机列表页面，可管理当前主机资源列表。 应用：呈现当前用户可管理应用发布资源数。单击应用模块，跳转到应用列表页面，可管理当前应用资源列表。 应用服务器：呈现当前用户可管理应用服务器数。单击应用服务器模块，跳转到应用服务器列表页面，可管理当前应用服务器列表。 告警：呈现当前用户未处理告警消息数。单击告警模块，跳转到消息中心页面，可管理当前消息列表。

后续管理 帐户同步策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联资源、删除策略、启停策略、立即执行策略等。 若需补充关联资源，可单击“关联”，快速关联资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略同步帐户，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略立即失效。 若需立即同步主机帐户，可单击“立即执行”，立即执行帐户同步任务。 查询和修改帐户同步策略 若帐户同步策略有变更，例如需同步方式变化等。可查看和修改已创建的策略配置，包括修改策略基本信息、修改同步方式、修改同步日期、修改同步周期、修改关联资源账户或帐户组等。 修改策略配置，且策略状态为“已启用”时，策略规则才生效。 前提条件 已获取“帐户同步策略”模块操作权限。 查看和修改策略配置 1 登录云堡垒机系统。 2 选择“策略 > 帐户同步策略 > 策略列表”，进入帐户同步策略列表页面。 3 查询账户同步策略。 快速查询：在搜索框中输入关键字，根据策略名称、资源名称、执行帐户等快速查询策略。 高级搜索：在相应属性搜索框中分别关键字，精确查询策略。 4 单击目标策略名称，或者单击“管理”，进入策略详情页面。 5 查看和修改策略基本信息。 在“基本信息”区域，单击“编辑”，弹出基本信息编辑窗口，即可修改策略的基本信息。 可修改信息包括“策略名称”、“执行方式”、“同步动作”等。 “部门”不可修改。 6 查看和修改策略关联的资源账户。 在“执行帐户”区域，单击“编辑”，弹出关联资源账户窗口，可立即添加或移除关联的资源账户。 在相应资源账户行，单击“移除”，可立即取消对该资源账户的同步。 查看关联资源账户 7 查看和修改策略关联的帐户组。 在“执行帐户组”区域，单击“编辑”，弹出关联帐户组窗口，可立即添加或移除关联的帐户组。 在相应帐户组行，单击“移除”，可立即取消对该组中资源账户的同步。

登录方式 登录说明 登录方式配置说明 密码登录 输入云堡垒机系统的用户密码。 默认登录方式。 “AD域认证”、“RADIUS认证”、“LDAP认证”或“Azure AD认证”用户登录密码为远程服务器用户密码。 公钥登录 输入用于验证登录的私钥和私钥密码，登录验证成功后，再次登录时，该用户在SSH客户端可以免密登录。 用户需要先生成用于验证登录的公私钥对，并在云堡垒机系统内的“个人中心”处将SSH公钥添加到云堡垒机系统中。 手机短信 “密码登录”或“公钥登录”验证成功后，选择“短信验证码”方式，输入手机短信验证码。 需已为用户帐号配置可用手机号码。 手机令牌 “密码登录”或“公钥登录”验证成功后，选择“手机令牌OTP”方式，输入手机令牌验证码。 说明 需确保用户登录系统时间与手机时间一致，精确到秒，否则会提示验证码错误。 需用户先绑定手机令牌，再由管理员配置多因子认证，否则用户无法登录系统。 动态令牌 “密码登录”或“公钥登录”验证成功后，选择“动态令牌OTP”方式，输入动态令牌验证码。 需已为用户签发动态令牌。

手机令牌 通过“手机令牌”方式同时验证 登录名 、密码和 手机动态码 ，认证登录用户身份。 在使用手机令牌登录前，用户需通过密码登录系统，配置手机令牌绑定方式，并绑定手机令牌。再由管理员配置用户登录认证方式，选择“手机令牌”多因子认证。 手机短信 通过“手机短信”方式同时验证登录名 、密码和 短信验证码 ，认证登录用户身份。 用户帐号需先配置可使用手机号码，再由管理员配置用户登录认证方式，选择“手机短信”多因子认证。 USBKey 通过“USBKey”方式验证插入的USBKey和 PIN码 ，认证登录用户身份。 需先申购USBKey，签权绑定，再使用USBKey进行身份认证。 动态令牌 通过“动态令牌”方式同时验证登录名 、密码和 动态令牌 ，认证登录用户身份。 需先申购动态令牌，签权绑定，再使用动态令牌进行身份认证。 AD域认证 管理员配置AD系统认证方式，创建AD域认证用户或同步AD域服务器用户。使用“密码登录”方式验证AD域用户账户和密码时，通过Windows AD域服务器对系统用户进行身份认证。 基本原理：通过AD域系统终端代理使用第三方库执行认证业务。 IP：AD域服务器的IP地址。 端口：根据实际情选择，默认选择389端口。 域：AD域的域名。 RADIUS认证 管理员配置RADIUS系统认证方式，并创建RADIUS认证用户。使用“密码登录”验证RADIUS用户账户和密码时，通过RADIUS协议，由第三方认证服务器对系统用户进行身份认证。 基本原理：通过远程网络接入设备的 用户 ，与包含用户认证和配置信息的服务器之间，采用用户服务器模式交换信息标准，执行认证业务。 IP：RADIUS服务器的IP地址。 端口：根据实际情选择，默认选择1812端口。 认证共享密钥：RADIUS的认证密码。 测试：用RADIUS的帐号密码做测试。

本小节主要介绍安装Linux应用服务器。 基础环境要求 系统要求：CentOS release 7.9最小安装系统。 网络要求：服务器需要有公网访问权限（绑定弹性EIP）。 防火墙要求：开放2376（docker服务）端口和3500040000端口。 前提条件 已获取Linux服务器root帐号密码。 操作步骤 1 使用root账号登录Linux服务器。 2 在Linux服务器中，下载Linux环境apppublisherx8664xxx.tar.gz（xxx为版本号）压缩包。 3 在Linux服务器中，执行以下命令，将apppublisherx8664xxx.tar.gz（xxx为版本号）压缩包进行解压。 tar xvf apppublisher.tar.gz cd apppublisher 4 环境之前是否已安装过firefox应用发布服务器 是，执行以下命令，把之前安装的firefox docker镜像删除。 docker rmi 127.0.0.1:5000/psmfirefox:0.2 删除后，继续执行步骤5。 否，执行步骤5。 5 执行以下命令，部署脚本。 /bin/bash install.sh 6 执行以下命令，检查服务状态。 active (running)表示应用发布服务器安装成功。 7 创建share目录（仅针对堡垒机V3.3.26.0版本）。 mkdir /opt/autorun/share 8 （可选）重启应用发布服务器。

参数 说明 申请控制权 可以向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。

删除帐户组 云堡垒机新建帐户组后，支持删除帐户组。删除帐户组后，通过帐户组授权的资源权限将失效。 前提条件 已获取“资源账户”模块操作权限。 删除帐户组 1 登录云堡垒机系统。 2 选择“资源 > 帐户组”，进入帐户组列表页面。 3 单击帐户组“操作”列的“删除”，即可删除该帐户组。 4 同时勾选多个帐户组，单击列表下方的“删除”，可批量删除多个帐户组。 查询和修改帐户组信息 若帐户组信息有变更需求，可查看和修改帐户组信息，包括查看帐户组基本信息、查看帐户组成员、修改帐户组基本信息、添加成员、移除组成员等。 约束限制 下级部门拥有“资源账户”模块管理权限的用户，查看帐户组详情时，只能查看到帐户组内上级部门资源账户列表，不能查看上级部门资源账户的详情信息。 下级部门拥有“资源账户”模块管理权限的用户，将当前帐户组中的上级部门资源账户移除后，不能再添加移除的上级部门资源账户。 前提条件 已获取“资源账户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“资源 > 帐户组”，进入帐户组列表页面。 3 查询帐户组。在搜索框中输入关键字，根据帐户组名称快速查询。 4 单击帐户组名称，或者单击“管理”，进入帐户组详情页面。 5 在“基本信息”区域，可查看帐户组基本信息。 单击“编辑”，弹出基本信息配置窗口，即可修改帐户组名称和简要描述。 6 在“帐户组成员”区域，可查看帐户组所有成员信息。 单击“添加”，弹出资源账户添加窗口，可添加或移除资源账户。 单击资源账户行的“移除出组”，可立即将资源账户移除出组。

接口描述 查询Postgresql实例IP白名单。 请求方法 GET URI /v1/whitelist/query 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj List IP白名单列表 示例 请求示例 /v1/whiteList/queryIPWhiteList?prodInstId15 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": [ "127.0.0.1", "192.168.174.1" ], "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

参数 说明 部门管理员 部门的运维管理员，主要负责云堡垒机系统的管理。除用户管理和角色管理模块之外，部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员，负责主机运维的权限策略管理。主要负责策略权限的配置，拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员，查询管理系统审计数据。主要负责查阅和管理系统的审计数据，拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维，拥有主机运维、应用运维和工单授权管理的权限。

此小节介绍云堡垒机的系统部门。 “部门”是用于划分组织结构，标识用户和资源的组织。系统默认有一个部门“总部”，仅可在“总部”基础上创建部门分支，且“总部”不可删除。根据部门划分用户组织结构后，下级部门用户不能查看上级部门信息，包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户，以及上级部门配置的策略信息和运维审计数据。 不同部门的用户，仅同部门和上级部门管理员可管理用户。 仅系统管理员admin或拥有“部门”模块权限的用户，可管理系统部门组织结构，包括新建部门、编辑部门、删除部门、查询部门用户和查询部门资源等。 新建部门 云堡垒机默认“总部”为系统最上级部门，仅可在“总部”基础上创建部门分支。 前提条件 已获取“部门”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 在左侧导航树中，选择“部门”，进入部门管理页面。 3 单击页面右上角的“新建”，弹出“新建部门”窗口。 4 选择“上级部门”，输入待新建的“部门名称”，并根据需要输入简要“部门描述”。 说明 系统内自定义的“部门名称”不能重复； 上级部门仅能在已有部门目录树中选择。 5 单击“确定”，返回部门管理页面，查看新建的部门。

USBKey登录 使用动态令牌登录 1 选择“动态令牌”方式。 2 依次输入用户登录名、帐户登录密码。 3 在已签发硬件令牌上获取动态口令，输入6位OTP口令。 4 单击“登录”，验证通过后即可登录系统。 Azure AD用户登录 1 单击“使用Azure AD登录”，跳转到Microsoft登录页面。 2 按步骤依次输入用户登录名和密码。 用户登录名需加邮箱后缀，例如zhang@example.com。 3 单击“登录”，验证通过后即可登录系统。

变更规格注意事项 软件版本要求 变更规格到 专业版 ，系统软件版本需在V3.2.16.0及以上，否则变更规格后的专业版功能不能生效。 系统数据备份与还原 变更规格前请务必备份系统重要数据，以免因变更规格失败而导致系统数据丢失。 变更规格后请根据实际需求将备份数据重新载入系统，还原系统配置。 变更规格时间 整个变更规格过程包括变更规格前准备、后台变更规格、变更规格后验证，共需60min左右。后台变更规格全程需30min左右，期间CBH系统需要关闭，会导致业务中断。 为了减少变更规格对系统运行的影响，请尽量选择在业务量较低时进行变更规格操作。

此小节介绍变更堡垒机规格准备事项。 确认变更规格前系统环境 在变更规格前，需确认并记录当前系统版本信息和授权规格，包括“版本号”、“设备系统”、“授权资源数”和“授权资源并发连接数”。 步骤 1 登录云堡垒机系统。 步骤 2 确认和记录系统版本。 选择“系统 > 关于系统”，查看系统版本信息。 记录“版本号”和“设备系统”。 说明 “设备系统”为V3.2.16.0及以上，才能变更规格系统到专业版 ，否则请先升级系统版本。 步骤 3 确认和记录授权信息。 1. 选择“系统 > 系统维护 > 授权许可”，查看当前授权规格。 2. 记录“授权资源数”和“授权资源并发连接数”。 备份系统数据 为避免因变更规格失败而导致系统数据丢失，变更规格前请务必备份重要系统数据，包括系统配置、资源账户、审计日志等重要数据。 备份系统配置 通过备份和还原系统配置数据，可复用变更规格前系统配置数据。 系统配置文件包括部门、用户、资源、策略、工单、运维、审计和系统模块的全部配置数据。 步骤 1 登录云堡垒机系统。 步骤 2 选择“系统 > 系统维护 > 配置备份与还原”。 步骤 3 单击“新建”创建备份，备份系统配置数据。 步骤 4 单击“下载”，导出系统配置文件保存于本地。

创建方式 说明 新建单个用户 单个用户仅能逐一创建，适用于创建单个管理员用户。 Excel文件批量导入用户 按照Excel模板要求配置用户信息，再导入系统。批量添加用户，适用于批量创建运维用户。 同步AD域用户 同步AD域服务器的用户。同步成功后，使用AD域用户帐号和密码登录CBH系统，AD域服务器同时提供认证服务。

步骤 说明 配置策略基本信息 可配置文件传输权限、用户登录IP限制、用户登录时段限制、策略有效期等信息。 关联用户或用户组 关联用户：赋权给单个系统用户，该用户角色需同时有“主机运维”和“应用运维”模块权限，才能正常获取运维资源权限。 关联用户组：批量赋权给整个用户组成员。赋权后，新加入组的用户即刻拥有该访问控制权限。 关联资源账户或账户组 关联资源账户：授权访问单个资源账户。 关联账户组：授权访问整个账户组。授权后，新加入组的资源账户可立即被赋权用户访问。

此小节介绍云堡垒机欠费说明。 欠费影响 对于包年/包月CBH资源，用户已经预先支付了资源费用，因此在帐户出现欠费的情况下，已有的包年/包月CBH资源仍可正常使用。然而，对于涉及费用的操作，如新购CBH、升级CBH规格、续费订单等，用户将无法正常进行。 避免和处理欠费 欠费后需要及时充值。 您可以在“费用中心 > 总览”页面设置“可用额度预警”功能。 当产生欠费后，请您及时充值使可用额度大于0。 停止计费 对于包年/包月计费模式的资源，例如包年/包月的CBH实例，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的帐户。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日之前关闭自动续费。

计费项 计费项说明 适用的计费模式 计费公式 性能规格 计费因子：资产数、并发数、实例版本 包年/包月 实例规格单价 购买时长实例规格单价 实例类型 单机：不购买备用堡垒机 主备：为堡垒机购买备用堡垒机，可自由选择可用区 包年/包月 单机：性能规格计费价格 1 主备：性能规格计费价格 2

此小节介绍计费概述。 通过阅读本文，您可以快速了解云堡垒机CBH的计费模式、计费项、续费、欠费等主要计费信息。 计费模式 云堡垒机提供包年/包月计费模式。包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保帐户余额充足。关于包年/包月计费模式的详细介绍请参见计费说明。 计费项 云堡垒机的计费项只由性能规格费用组成。了解每种计费项的计费因子、计费公式等信息，请参考计费项。 如需了解实际场景下的计费样例以及各计费项在不同计费模式下的费用计算过程，请参见计费样例。 续费 包年/包月云堡垒机在到期后会影响云堡垒机的正常运行。如果您想继续使用云堡垒机，需要在规定的时间内为云堡垒机进行续费，否则云堡垒机实例将会自动释放，数据也可能会丢失。续费包括手动续费和自动续费两种方式，您可以根据需求选择。了解更多关于续费的信息，请参见续费概述。 欠费 在使用云服务时，帐户的可用额度小于待结算的账单，即被判定为帐户欠费。欠费后，可能会影响云服务资源的正常运行，需要及时充值。详细介绍请参见欠费说明。 停止计费 当云服务资源不再使用时，可以将他们退订或删除，从而避免继续收费。详细介绍请参见停止计费。